Единый вход для суперадминистраторов поддерживается только при использовании устаревшего профиля SSO и только в некоторых случаях (см. ниже). Он не поддерживается более новыми профилями SSO .
Разрешение единого входа (SSO) для суперадминистраторов имеет как преимущества, так и риски. Аутентификация всех пользователей (включая администраторов) через SSO минимизирует область, в которой управляются учетные данные пользователей. Но если ваш поставщик идентификации (IdP) будет скомпрометирован, третье лицо сможет получить доступ к консоли администратора Google и ко всем аспектам учетной записи вашей организации.
Чтобы снизить этот риск, если вы включаете единый вход (SSO) для суперадминистраторов, мы рекомендуем также включить двухфакторную аутентификацию (2-факторную аутентификацию) для суперадминистраторов как в вашем поставщике идентификации (IdP), так и в Google.
Как отключить единый вход для суперадминистратора
Чтобы отключить единый вход для суперадминистратора, используйте новые профили единого входа . Для перехода с устаревшего профиля единого входа на профили единого входа следуйте этим инструкциям .
Когда суперадминистраторы могут входить в систему с помощью единого входа (SSO)
Если вы используете устаревший профиль SSO, суперадминистраторы могут входить в систему с помощью SSO в следующих случаях:
- В параметре «URL-адреса служб для конкретного домена» установлено автоматическое перенаправление пользователей на стороннего поставщика идентификации.
- Когда вход в систему суперадминистратора инициируется поставщиком идентификации (единый вход, инициированный поставщиком идентификации).
- Если суперадминистратор изначально входит в Google, используя учетную запись, не являющуюся суперадминистратором, а затем предоставляет свои учетные данные суперадминистратора при перенаправлении на IdP, в этом случае Google примет подтверждение личности суперадминистратора от IdP.
Когда суперадминистраторы не могут войти в систему с помощью единого входа (SSO)
Даже при использовании устаревшего профиля SSO суперадминистраторы не могут войти в систему с помощью SSO в следующих случаях:
Административная консоль
Когда суперадминистраторы пытаются войти в домен с поддержкой единого входа (SSO) через admin.google.com , им необходимо ввести полный адрес электронной почты своей учетной записи администратора Google и связанный с ней пароль Google (а не имя пользователя и пароль SSO), а затем нажать кнопку «Войти» , чтобы получить прямой доступ к консоли администратора. Google не перенаправляет их на страницу входа через SSO.
Клиент синхронизации Google Диска
Когда суперадминистраторы входят в клиент синхронизации Google Drive, они обходят SSO — Google не перенаправляет их на страницу входа через SSO. Это относится к попыткам входа через браузеры, мобильные приложения (такие как приложения Drive и Gmail для iOS), процесс активации учетной записи Android и так далее.